确保安全关键系统可靠运行|汽车测试进入系统内时代
扫描二维码
随时随地手机看文章
特斯拉又双叒降价了,却是在日本和美国;如特斯拉大中华区总裁朱晓彤所说:在中国,“随着技术的发展,特斯拉的价格还会越来越低。”不过,特斯拉质量问题频发,也是不争的事实。如新华网所云:“车辆安全始终是第一位的,产品质量终究是前提。”车新势力所缺少的或许正是百多年来经过历史检验的漫长的系统工程——测试和验证。今天的汽车电气/电子系统越来越多,而元件小型化导致对电应力的敏感性不断增加,防止器件中断和潜在或灾难性的故障已成为汽车应用的一大挑战。因此,除了传统的测试,一些新的测试方法也应运而生。我们期望,主机厂有动力和能力制造一辆安全的汽车,以致其声誉不会受损,召回也就没有必要了。
随着汽车电气化进程,在制造过程的最后阶段对新车进行彻底的测试已经不够。安全标准现在要求在现场进行测试,如果测试失败,应制定应急计划。事实上,汽车半导体供应链对专门针对系统内(in-system)监控的设计功能有明确要求。而所谓监控包括结构测试和性能监控两部分。安全机制必须包括汽车运行期间执行测试的计划。虽然启动和关闭是触发测试的重要事件,但有些必须在车辆运行时进行。在任何标准中都没有明确规定执行什么,但这样的计划必须是安全机制的一部分,也是认证过程的一部分。
■
为什么需要测试和监控?
每次有车辆上路,都有发生危险的可能。ISO 26262标准规定了如何确保安全的一般要求,与大多数电子系统不同的是,它包括对车辆寿命进行定期芯片测试。西门子EDA汽车IC测试解决方案经理Lee Harrison说:“纵观整个领域,我们已经进行了多年的结构测试。最近,我们开始在系统内这样做。”
对于车辆中的某些系统,这一点至关重要。Advantest汽车业务开发经理Fabio Pizza说:“ISO 26262标准要求在汽车的整个生命周期内,通过自检定期检查批量生产的车辆中电气和/或电子系统的功能安全性。”
进行这种测试的三个主要理由是:
测试遗漏是一个事实。“在70年代、80年代和90年代,如果你的良率是98%,就会有百万分之一的器件是不可接受的,”KLA战略合作高级主管Jay Rathert说。
需要定期确保自上次运行测试以来,车辆没有任何变化。
即使没有任何破坏性事件,老化也会影响车内的电子设备。因此,测试机制需要关注性能,以发现任何芯片老化,并确保持续安全运行。
一个器件最低水平的具体性能或老化程度取决于器件之间可能发生的变化。不同的器件会有不同的操作,测试和可靠性统计数据可能会,也可能不会准确地反映特定的器件。
个人拥有汽车的时代——长时间停放、上下班用、临时外出——行将结束。Rathert说:“我们正朝着24/7汽车的方向发展,汽车将被用于共享,这将彻底改变汽车的磨损模式。”
■
应该运行什么类型测试?
ISO 26262没有规定必须运行的特定测试。相反,它更笼统地谈到“安全机制”,由开发团队、Tier 1和主机厂来商定。这使他们能够灵活地使用其认为最有效的工具,并在出现新想法时融入其中。Synopsys数字设计部门产品营销总监、功能安全从业者Robert Ruiz说:“有逻辑测试和内存测试,但也可能是其他类型的标准逻辑、看门狗、传感器或监视器。”
运行期间安全检查的两个主要机制是测试和监控。测试与制造流程中的测试基本相同,可能有一些修改或添加。其目的是寻找结构性问题。另一方面,监控关注的是性能,旨在寻找安全可能在不久的将来受到威胁的任何异常或其他迹象。
测试和监控都可以将结果传送到云。但通常情况下,测试失败会导致在没有云帮助时在车内立即采取行动。与此同时,监控数据可能会被传输到云端进行分析和跟踪。虽然该车将有许多其他专用传感器组件向云端发送数据,但这些组件正在监视特定的更高级别的汽车参数。相比之下,片内监视器可视电路。两者都很重要,但处理和管理方式可能不同。
proteanTecs汽车总经理Gal Carmel说:“监控允许车辆和云之间的计算协同作用,实现云上的实时决策和数据分析。系统评估边缘电子设备的完整性,并相应地将相关数据传输到云端,以便进行预测性和规范性诊断。这不仅可以延长系统的使用寿命,还允许快速进行根本原因分析和OTA调试。”
系统反应和云分析监控架构
不是所有的监视器都一样。“我们有两种显示器,”Harrison解释说。“我们有被动监视器,只是用来收集数据。还有反应监视器,如果我们真的发现了一些意想不到的事情,那么像巴士哨兵这样的东西可以完全关闭车辆。”
■
同时进行测试和操作
有三个事件或时间需要执行测试:钥匙打开、操作期间进入系统和钥匙关闭。
Synopsys数字设计部门产品营销总监Giri Podichetty说:“当你开始测试系统是否正常时,就会打开电源。在操作过程中,我们可以做定期测试,去检查设备的实际状态。最后,我们关闭电源,然后我们有更多的时间做更多的测试。”
汽车在发动机启动时已经进行了一些测试。Ruiz说:“当你一开始看到仪表盘上的灯时,就在进行很多初始测试。虽然额外的测试可能需要一些时间,但没有太多的时间,因为驾驶员期望在几秒钟后开始驾驶。因此,对于芯片测试本身,可用的时间可能是200毫秒左右。”
当汽车熄火时,还有更多的时间测试。从理论上讲,虽然开发人员说有无限的时间,但显然不是这样。时间预算的关键是重新启动汽车之前的几秒测试时间。Ruiz说:“当你把车熄火时,你大概可以再等10秒钟。当然,在半导体界,秒是一个巨大的时间量。”
在这个关键关闭阶段可以运行更广泛的测试集。Harrison指出:“在内存上运行一个基本棋盘算法然后打开钥匙,或在内存上运行一个功能齐全的应力测试然后关闭钥匙,两者区别很大。”
在钥匙打开时测试的电路可能需要也可能不需要在系统中进一步测试。这就是ASIL评级的重要性所在。Harrison说:“对于信息娱乐系统,钥匙开着测试就可以了。但是研究先进防抱死制动系统时,情况就不同了。”
此外,对于无人出租车和其他类似车辆,钥匙开启和关闭测试的可能性很小。Harrison解释说:“钥匙每10小时才开一次。所以你需要能够运行在线测试,以确保一切都是安全的。”
因此,面临的挑战是如何在电路运行时对其进行测试。测试的内容和时间在一定程度上取决于安全级别。当然,最严苛的是ASIL-D,它是对车辆最安全关键部件最严格的评级。无论车辆在做什么,都需要定期进行关键测试。
监控与车辆的运行状态没有那么紧密的联系。proteanTecs的Carmel说:“深度数据监控允许24/7使用,无论车辆的钥匙处于打开或关闭状态。与BiST(Built-in Self Test,内建自测)相反,其在线、非侵入性的运行不会中断功能运行。在钥匙打开时,它可以识别可靠性降低和安全威胁并发出警报,从而实现规定的维护。在钥匙关闭时,在预定的维护时间内,主机厂可以物理连接和调试问题,以保持服务可用性并延长操作寿命。”
■
何时运行测试?
如果管理不当,大多数测试可能会中断。例如,当汽车在红绿灯处时,不一定能安排测试,因为无法保证何时会遇到这种情况,也无法保证停车会持续多久。因此,无论车辆当时在做什么,都必须安排进行测试。
处理这个问题的一种方法是冗余。而不是单核运行自己的内存,核和内存可以复制。控制可以在它们之间来回传递,这样,当一个核正在测试时,另一个将处理驾驶任务。然后,可以将其反转,以确保两组都在工作状态。
这类似于但不同于双核锁步操作。在这种情况下,两个核的运行方式总是相同的,其目标是识别两个内核之间的任何分歧。但是,对于测试,两组将不处于锁定阶段。相反,它们各自为战,以便测试和操作可以无缝地进行。
这种冗余为测试提供了操作裕度。一些架构师可能会认为,我有四个处理器,所以以循环方式,可以离线测试一个。Cadene的Tensilica IP部门产品营销总监Ted Chua说:“冗余的需求并不局限于功能电路,测试电路也很有必要。测试还需要冗余。”
内存可以在访问之间进行部分测试,这就是所谓的“透明”测试。Synopsys的Podichetty说:“为了不占用太多时间,我们以时间切片的形式进行无损内存测试。如果内存离线(taken offline),则可以执行扩展的内存内建自测(MBiST)测试。
对于SoC上的逻辑测试,测试能力主要利用芯片上已经存在的用于制造测试的可测试设计(DFT)基础设施。为了增加更多的通道以获得更好的可视性,可能需要对电路进行一些修改,但这种更改通常是为了缩短测试时间,帮助补偿所需的额外硅面积。
系统内逻辑测试通常涉及逻辑内建自测(LBiST),包括通过测试运行使用的种子向量,这些测试的结果被组合成一个签名。对该签名的验证构成系统该部分的通过/失败信号。LBiST域的大小取决于可用于测试的时间。
示例LBiST块与嵌入式确定性测试(EDT)共享
Cadence产品管理总监、数字和签准部门的Rob Knoth指出:“开车上路时,可以有一个非常快速的测试循环,而不是执行电路的LBiST,这将在钥匙打开或关闭时完成。”
也可以调用软件在硬件上运行测试。Advantest的Pizza说:“这可能包括用于检查器件引导序列和自检是否正常工作,以及检测与应用电路(传感器、接口、摄像头、总线等)交互中可能出现的问题。然而,这种测试可能是侵入性的,其时间安排必须仔细规划。”